Az IT biztonság kihívásai Máriás Zoltán, CISA, CSM, CNE stratégiai igazgató, TMSI Kft 1
Mi a nagyobb baj? Ha 100.000 bankkártya adata kiszivárog? (DLP, azaz adatszivárgási kérdés) Ha 6 órán keresztül áll vagy olyan lassú az cég online szolgáltatása, hogy használhatatlan az ügyfelek részére? (határvédelmi kérdés) 2
A szervezetek IT biztonsági feladatai Védeni kell a szellemi tulajdont Folyamatosan meg kell felelni az előírásoknak, jogszabályoknak Ennek céljából alkalmazniuk kell a legújabb technológiákat, hogy: 1. minden körülmények között 2. bármely pontról (desktop, mobil, tablet) 3. biztosítsák a biztonságos hozzáférést az érzékeny/szenzitív (ezáltal védendő) adatokhoz. 3
A szervezetek IT biztonsági kihívásai Az EU által meghirdetett adatvédelmi reform (GDPR) A képzett IT szakemberek hiánya (skills shortage) A munkatársak állandó képzése (adathalászat elleni védelem) A folyamatosan fejlődő fenyegetések (támadások) DDoS, ransomware, APT 4
A cégeket ma fenyegető veszélyek tárháza 5
A támadások száma és összetettsége nő A támadási felület ekszponenciálisan nő laptopok/desktopok okostelefonok/tabletek Virtuális szerverek/desktopok felhő/határvédelem A támadások egyre szofisztikáltabbak A támadások sokkal koordináltabbak, mint a védekezési mechanizmusok 6
A 2D kibervédelem sikeressége a múlté 7
Mi az, hogy DDoS? 8
A DoS és a DDoS A DoS (denial-of-service) röviden: a szolgáltatás megtagadása A DoS bővebben: az egy olyan támadási kísérlet, amelynek célja, hogy egy online szolgáltatást a legitim felhasználók számára elérhetetlenné tegyenek. (Wikipédia: szolgáltatásmegtagadással járó támadás) Ha a támadás több forrásból származik, akkor az egy distributeddenial-of-service. (DDoS). (Wikipédia: elosztott szolgáltatásmegtagadással járó támadás) Ezt pedig úgy érik el, hogy botnet hálózatokról egyidőben indított támadások túlterhelik rosszindulatú forgalommal az adott általában web szervereket. 9
Tények Mindössze 150 USD az ára a fekete piacon az egy hétig tartó DDoS támadásnak Napi 2000 DDoS támadást regisztrálnak az anti-ddos megoldásokat gyártó cégek Az összes informatikai leállás 1/3-a DDoS támadások következménye Nem kell ahhoz saját honlap, hogy DDoS támadás áldozatává válhassunk 10
Digital Attack Map 11
Melyek a tünetek? Aránytalanul lassú hálózati teljesítmény (állományok megnyitása vagy honlapok elérése kapcsán) Egy adott web-oldal elérhetetlensége Bármely web-oldal elérésének lehetetlensége (belülről kifelé) A kéretlen levelek mennyiségének drámai megnövekedése (ennek a támadásnak e-mail bomb a neve) A wifi vagy a vezetékes hálózati internet kapcsolat leállása 12
Milyen motivációk állhatnak mögötte? Anyagi haszonszerzés Zsarolás Politikai motívumok (aktivizmus) Bosszú (forrás TechWeek Europe) 13
Mi köze ehhez a szervezeteknek, cégeknek? 2015-ben a DD4BC-hez hasonló botnetek jelentősen előreléptek, pénzügyi intézményeket kezdtek célba venni A kiberzsarolók általában egy alacsony-szintű támadással kezdenek (low and slow) Figyelmeztetés, hogy nagyobb támadás várható (amennyiben nem kerül kifizetésre Bitcoinban a váltságdíj) Soha ne menjenek bele egy ilyen zsarolási játékba! 14
A DDoS elleni védekezés 3 formája 1. Csak az Internet szolgáltató védekezési rendszerével (ha van) 2. Az Internet szolgáltató és saját belső céleszközök által 3. Saját infrastruktúrába telepített eszközzel/szolgáltatással a. Border Gateway Protocol (BGP) b. Domain Name Service átirányítás (DNS) 15
Néhány DoS variáció Teardrop attack Permanent DoS attack Nuke Telephony DoS (TDoS) attack Advanced Persistent DoS (APDoS) 16
Az Advanced Persistent DoS A támadás hetekig is eltarthat (pld. 38 napig) Persistent = álhatatos, kitartó, szívós Anyagilag nagyon támogatott, jól felszerelt, kitűnő szakértelemmel rendelkező csapatok állnak mögötte A célpont pontosan fel van térképezve ( be van targetálva ) Csak kombinált rendszerrel lehet megállítani, amelynek része az Internet szolgáltató védelme és belső védelem, mint az a Sophos Synchronized Security 17
A szinkronizált biztonság 18
A szinkronizáls biztonságról röviden A biztonság legyen átfogó The capabilities required to fully satisfy customer need A biztonság rendszerként hatékonyabb New possibilities through technology cooperation A biztonság lehet egyszerű Platform, deployment, licensing, user experience Synchronized Security Összetett, kontext- tudatos biztonság, amelyben különálló biztonsági technológiákfontos információt osztanak meg egymással a hatékonyság céljából 19
Synchronized Security CORPORATE DATA ios WINDOWS PHONE Átfogó védelem Megelőzni a malware-t Betörés-észlelés A veszélyek megszüntetése Az esetek kivizsgálása Adatok titkosítása WINDOWS MAC ANDROID LINUX 20
A kibérvédelem új generációja Egyedi termékek Rétegelt védelem Synchronized Security Anti-virus IPS Firewall Sandbox Csomagok Csokrok UTM EMM Security Heartbeat 21
a Security Heartbeat megoldás 22
A Sophos Security Heartbeat megoldása A Sophos egyedi megoldása: a next-gen endpoint (Végpont-védelem 2.0) és a next-gen firewall (Újgenerációs határvédelem) szorosan együttűködnek Sophos Cloud Next Gen Enduser Security Next Gen Network Security Security heartbeat SOPHOS LABS 23
Átfogó Végpontvédelem 2.0 Application Control Web & app exploit prevention URL & download reputation Web Protection Heuristics analysis Threat Engine SOPHOS SYSTEM PROTECTOR Security Heartbeat Live Protection Preexecution emulation Behavior analytics Device Control Malicious Traffic Detection 24
Átfogó Újgenerációs Határvédelem Routing Email Security Web Filtering Intrusion Prevention System (DDoS) Firewall Threat Engine SOPHOS FIREWALL OPERATING SYSTEM Security Heartbeat Proxy Selective Sandbox Application Control Data Loss Prevention ATP Detection 25
A külső fenyegetések integrált kezelése Sophos Cloud Application Control Web & app exploit prevention URL & download reputation Web Protection Heuristics analysis Routing Email Security Web Filtering Intrusion Prevention System (DDoS) Firewall Threat Engine SOPHOS SYSTEM PROTECTOR Security Heartbeat heartbeat Security Heartbeat SOPHOS FIREWALL OPERATING SYSTEM Threat Prevention Live Protection Preexecution emulation Behavior analytics Device Control Malicious Traffic Detection Proxy Selective Sandbox Application Control Data Loss Prevention ATP Detection Compromise User System File Isolate subnet and WAN access Block/remove malware Identify & clean other infected systems 26
Miért a Sophos és miért a TMSI Kft? 27
A végpontvédelem és a határvédelem a napi támadások nélkülözhetetlen védelmi eleme 1 millió gyanús URL feltárása és elemzése 70 forráshelyen 350,000 Korábban még nem látott állomány elemzése naponta a SophosLabs-ban (3 másodpercenként)! 3 millió kéretlen levél azonosítása 20 országban elhelyezett 80 védelmi ponton 600 millió Live Protection file elemzés a Sophos Hadoop klasztereiben 150,000 Malware állományt fogadnak a Live Protection felhőjében naponta, gyors azonosításra 50% a detektálásnak 19 malware minta alapján történik. 28
Egyedüli, amely EP és UTM téren is Gartner Leader Gartner Magic Quadrant ENDPOINT PROTECTION Gartner Magic Quadrant UNIFIED THREAT MANAGEMENT Challengers Leaders Challengers Leaders Fortinet Ability to execute Qihoo 360 ThreatTrack Security Microsoft Bitdefender F-Secure Check Point Eset Symantec McAfee Trend Micro Kaspersky Panda Security IBM Webroot Landesk Stormshield Lumension Ability to execute Cisco Juniper Networks Huawei Hillstone Networks Aker Security Solutions Barracuda Gateprotect Dell Stormshield Check Point WatchGuard Niche players Visionaries Niche players Visionaries Completeness of vision Source: Gartner (December 2014) Completeness of vision Source: Gartner (August 2015) 29
A végpontvédelem és a határvédelem egyensúlya ENDPOINT NETWORK 10,8% 54,9% 100,0% 93,7% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 89,2% 45,1% 6,3% 30
www.tmsi.hu Újgenerációs határvédelem Anti-DDoS APT-védelem IPS DLP Végpontvédelem 2.0 Teljeskörű titkosítás 31